«Αθώο» το Cydia για παραβιάσεις απορρήτου

Την υποψία ότι οι εφαρμογές που διατίθενται από το Cydia, το ανεπίσημο αποθετήριο app για iOS, θα κάνουν πάρτυ με τα προσωπικά δεδομένα των χρηστών iPhone που έχουν υποστεί jailbreak, διαψεύδει πανεπιστημιακή μελέτη. Μάλιστα, συμπεραίνει πως συμβαίνει ακριβώς το αντίθετο: μία στις πέντε app από το επίσημο iTunes AppStore μεταφέρουν τις «ταυτότητες» των «κλειδωμένων» iPhone.

Στη μελέτη, τέσσερις φοιτητές από πανεπιστήμια της Αυστρίας, της Γαλλίας, της Καλιφόρνια και της Βοστώνης εξετάζουν τη «διαρροή» προσωπικών δεδομένων από τις συσκευές της Apple που βασίζονται στο λειτουργικό σύστημα iOS.

Η μελέτη ήρθε και πάλι στο προσκήνιο από το Forbes.com και τον δημοσιογράφο Andy Greenberg, μετά την αποκάλυψη ότι app για iOS αλλά και Android μεταφέρουν στοιχεία από το βιβλίο διευθύνσεων (επαφές) του χρήστη χωρίς την συγκατάθεσή του.

Οι μελετητές πειραματίστηκαν με 1.400 app για iPhone και διαπίστωσαν ότι, με ελάχιστες εξαιρέσεις, τα περισσότερα σέβονται το απόρρητο δεδομένων που αποκαλύπτουν την ταυτότητα του χρήστη. Μάλιστα, το συμπέρασμα αυτό αφορά σε αpp που διατίθενται όχι μόνο από το επίσημο κατάστημα εφαρμογών της Apple, το iTunes AppStore, αλλά και στο Cydia, το ανεπίσημο κατάστημα app που τρέχουν μόνο σε iPhone που έχουν υποστεί jailbreak -και ως εκ τούτου, δεν απαιτούν την υπογραφή της Apple για να εκτελεστούν στο iPhone.

Όμως, η ίδια μελέτη αποκαλύπτει ότι από το 55% των app στο AppStore διαρρέει το μοναδικό ID της συσκευής. Αυτό το ID δεν αποκαλύπτει την ταυτότητα του χρήστη, όμως, γύρω από αυτό, μπορεί να σχηματιστεί ένα λεπτομερές προφίλ για τις προτιμήσεις και τη χρήση της εφαρμογής. Αυτό ίσως θεωρείται θεμιτό και χρήσιμο για την βελτιστοποίηση των app. To ίδιο ID όμως, θα μπορούσε γράφουν οι ερευνητές, εάν συνδυαστεί με άλλη προσωπική πληροφορία από τρίτη πηγή να φανερώσει τελικά και το ονοματεπώνυμο και στον χρήστη.

• Διαβάστε στο tech.in.gr: Πώς το Google μπορεί να ξέρει τα πάντα για το iPhone σας

Σε ότι αφορά την πιθανότητα διαρροής του λεγόμενου DeviceID, της θέσης, του address book, του αριθμού τηλεφώνου, του ιστορικού περιήγησης στο Διαδίκτυο και των φωτογραφιών, τα αποτελέσματα μεταξύ AppStore και Cydia είναι τα ακόλουθα:

Το 21% των εφαρμογών από το App Store διαρρέουν το DeviceID, όταν μόλις 4% των app στο Cydia κάνουν το ίδιο. Το 4% των app στο App Store αποκάλυπταν τη θέση, έναντι 0,2% στο Cydia, 0,5% στο AppStore τον αριθμό τηλεφώνου έναντι μηδενικού ποσοστού στο Cydia, το ιστορικό στο Safari καμία στο AppStore, και 1 στο Cydia και τις φωτογραφίες, καμία στο ΑppStore και 1 στο Cydia.

Σύμφωνα με τους ερευνητές, η Apple έχει υιοθετήσει τη δική της μέθοδο για την έγκριση εφαρμογών που θα διατίθενται από το κατάστημά της, τις συνυπογράφει και εγγυάται η ίδια για το απόρρητο, διατηρώντας το δικαίωμα να «πετάξει έξω» από το App Store της όλες τις εφαρμογές ενός δημιουργού εάν διαπιστώσει ότι παραβιάζει τους κανόνες για το απόρρητο των χρηστών στο κατάστημα. Δεν υπάρχει όμως κανένας μηχανισμός που να τους επιβάλλει. Οι κανόνες λένε ότι απαγορεύεται σε κάθε app να μεταβιβάσει δεδομένα χρηστών χωρίς τη ρητή συγκατάθεσή τους. Επίσης, στην Άδεια για Developer προβλέπεται ότι μια εφαρμογή δικαιούται να επιζητά την συγκατάθεση αυτή, μόνο όταν τα επίμαχα δεδομένα απαιτούνται για να εκτελεστεί μια καλώς ορισμένη λειτουργία του app.

Πάντως, δεν είναι γνωστή η ακριβής διαδικασία από την οποία διέρχονται όλες οι υπό έγκριση εφαρμογές για το App Store. Εντούτοις, έχει διαπιστωθεί στο παρελθόν ότι app πέρασαν τον έλεγχο, ανέβηκαν στο iTunes App Store μέχρις ότου οι καταγγελίες των χρηστών οδήγησαν την Apple στην απόφαση να εκδιώξει εκ των υστέρων τις εφαρμογές που παραβίαζαν την πολιτική της. Ένα τέτοιο παράδειγμα, γράφουν οι μελετητές, συνέβη το 2009 με την Storm8, η οποία έκανε συγκομιδή αριθμών τηλεφώνου και άλλων προσωπικών δεδομένων.

Αντίθετα, η Google έχει ενσωματώσει στο Android μηχανισμούς που καθιστούν διαφανή την πρόσβαση στα δεδομένα του χρήστη (ενημερώνεται και ερωτάται κατά την εγκατάσταση των app).

Ανθή Παναγιωτάκη

In.gr Τεχνολογία